In het rapport van de procureur-generaal bij de Hoge Raad “Onderzoek in een geautomatiseerd werk” gaat het om de toepassing door het OM van de onderzoeksbevoegdheden van 126nba Sv, die ook wel de hackbevoegdheden worden genoemd.1
Centraal staat in het door de advocaat-generaal D.J.C. Aben en mr E.T. Luining verrichte onderzoek of wordt voldaan aan de wettelijke voorschriften en de beginselen van proportionaliteit, subsidiariteit en behoorlijkheid. Dat is grosso modo het geval, al worden onvolkomenheden geconstateerd. Acht aanbevelingen zijn opgenomen, onder meer over het filteren van gegevens van geheimhouders en over internationale aspecten. Er is tijdens het onderzoek samengewerkt met de Inspectie Justitie en Veiligheid die toezicht houdt op de uitvoering van het bevel van de officier van justitie door de politie.2
Het rapport toont dat de hackbevoegdheid ‘betrekkelijk minutieus’ is geregeld. “Dat bergt het risico van een zekere starheid in zich, die het OM beperkt in de ruimte om in te spelen op nieuwe ontwikkelingen of om rekening te houden met de omstandigheden van het geval.” In dat licht vond ik het niet verwonderlijk dat de hackbevoegdheid tussen maart 2019 en december 2021 in slechts 43 zaken is uitgeoefend. De wetgever maar ook het OM en andere betrokkenen bij de uitvoering zijn kennelijk uiterst terughoudend. Dat is vanuit het oogpunt van privacy natuurlijk toe te juichen. Maar bij mij rees de vraag of de regeling van het binnendringen misschien te minutieus is, en of de regeling van het onderzoek na het binnendringen en van de gevolgen die worden verbonden aan wat dat onderzoek oplevert nog wat aanscherping vergt. Die gedachte is ingegeven door een ander rapport, de Evaluatie 2020 Wet op de inlichtingen en veiligheidsdiensten van de commissie Jones-Bos.
Natuurlijk gaat het in dat laatste rapport om andere diensten, namelijk de AIVD en de MIVD, met een ander wettelijk kader. Bovendien gaat het daarin om de doeltreffendheid en de effecten van de wet in de praktijk in plaats van – zoals in het rapport van de procureur-generaal – om de rechtmatigheid van de uitvoering van de wet. Niettemin worden in het rapport Jones-Bos suggesties gedaan die ook in het strafrechtelijk domein van belang lijken. Het gaat dan in het bijzonder om de wenselijkheid van verdere regeling van ‘bulkdata’ en ‘geautomatiseerde data analyse’. Beide onderwerpen komen aan de orde in het ontwerp wetsvoorstel Tijdelijke wet onderzoeken AIVD en MIVD. Bulkdata is een begrip dat staat voor een omvangrijke verzameling van gegevens waarvan het merendeel betrekking heeft op personen en/of organisaties die niet in onderzoek zijn van ‘de diensten’ en dit ook nooit zullen worden. Een strafrechtelijk voorbeeld deed zich voor toen de in beslag genomen iMac van een directeur van een internationaal ambulancevervoerbedrijf moest worden onderzocht in verband met een verdenking van gijzeling. De iMac bevatte meer dan tweemiljoen bestanden van klanten en patiënten.3 In rechte spitste de zaak zich toe op de selectie van geheimhoudersgegevens, maar de zaak illustreert dat een onderzoek dat is gericht op één individu – anders dan de minister sprekend over de sleepnetproblematiek suggereerde (vgl. rapport p. 16) – informatie over veel anderen kan opleveren.
Voor de reductie van de gegevens die zijn verworven is dan vaak geautomatiseerde data analyse nodig. Volgens art. 60 Wet Inlichtingen- en Veiligheidsdiensten 2017 is daarvan sprake als gegevens/bestanden op geautomatiseerde wijze onderling of in combinatie met elkaar worden vergeleken, deze worden doorzocht aan de hand van profielen, of worden vergeleken met het oog op het opsporen van bepaalde patronen. Ik geef van elk van deze drie categorieën voorbeelden uit het strafrechtelijk domein: de vergelijking van de telefooncontactenlijst van tien verdachten, waaruit een gemeenschappelijk elfde contact opduikt; het doorzoeken van de mailbox van een verdachte; en het opsporen van patronen van bezoek aan bepaalde websites of van het doen van bepaalde betalingen.
Het is logisch dat naar de in het onderzoek opgedoken elfde contact nader onderzoek wordt gedaan, maar dat betekent niet dat deze persoon (al naar gelang de ernst van het feit) automatisch – zonder verdere menselijke beoordeling – kan worden gearresteerd. Juridisch lijkt dat moeilijk te verenigen met art. 11 van de Richtlijn gegevensbescherming politie en justitie, Ri 2016/680 (EU).4 Maar ‘computer says so’ is een sterk retorisch middel. Zou het strafprocesrecht niet gebaat zijn met een equivalent van art. 60 lid 3 Wiv waarin staat dat het bevorderen of treffen van – daadwerkelijke – maatregelen jegens een persoon uitsluitend op basis van de resultaten van een gegevensverwerking verboden is?
De technische ontwikkelingen gaan snel, maar zijn de regels afdoende om de kwaliteit te waarborgen van de bij het doorzoeken van de mailbox gebruikte ‘tools’?5 Volgens het inspectierapport (p. 23) is in 2021 in 23 zaken een technisch hulpmiddel ingezet waarvan uitsluitend de (commerciële) leverancier inzicht heeft in de precieze werking. Niet eens kan worden vastgesteld of deze ‘tools’ – bijv. om de mailbox van de verdachte te lezen – na de actie zijn verwijderd. De kwaliteit van de gebruikte hulpmiddelen verdient dus meer aandacht, zoals de procureur-generaal nadrukkelijk signaleert.
En wat gebeurt er met gegevens over personen aan wie de verdachte het patroon aan betalingen deed, als met hen niets mis is? Er zijn nog geen bestanden vernietigd omdat nog geen van de onderzoeken is afgerond, maar ik heb er een hard hoofd in al was het maar omdat het vernietigen van geheimhoudersgegevens nu al te wensen overlaat.
De rapportages over de wettelijke hackbevoegdheden lijken geruststellend vanuit het oogpunt van geldend recht. Maar dat betekent niet dat het geldend recht optimaal is.
Dit Vooraf is gepubliceerd in NJB 2022/2545, afl. 36
Afbeelding: freepik
Voetnoten
1 Eindrapportage Onderzoek in een geautomatiseerd werk. Den Haag 9 november 2022.
2 Inspectie J&V, Verslag toezicht wettelijke hackbevoegdheid politie 2021, 31 mei 2022; zie ook A. van Uden en C.A.J. van den Eeden, De hackbevoegdheid in de praktijk, WODC-cahier 2022-8.
3 HR 16 juni 2020, ECLI:NL:HR:2020:1048.
4 Vgl. art. 7 e Wet justitiële en strafvorderlijke gegevens.
5 Art. 8-13 Besluit onderzoek in een geautomatiseerd werk.